ERSPAN の設定の前提条件
-
アクセス コントロール リスト(ACL)のフィルタは、トンネルにモニター対象トラフィックを送信する前に適用されます。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アクセス コントロール リスト(ACL)のフィルタは、トンネルにモニター対象トラフィックを送信する前に適用されます。
この機能には、次の制限があります。
切り捨ては、IPv4 および IPv6 のパケットでのみサポートされ、IP ヘッダーのないレイヤ 2 パケットではサポートされません。
ERSPAN 宛先インターフェイスは、1 つのセッションだけに使用することができます。同じ宛先インターフェイスを、複数の ERSPAN/SPAN セッションに設定することはできません。
送信元としてポートのリストまたは VLAN のリストを設定できますが、特定のセッションに両方を設定することはできません。
filter IP/IPv6/MAC/VLAN access-group と filter SGT を同時に設定することはできません。
ERSPAN CLI を介してセッションが設定されると、セッション ID とセッション タイプは変更できません。これらを変更するには、コマンドの no 形式を使用してセッションを削除してから、セッションを再設定する必要があります。
ERSPAN 送信元セッションは、RSPAN VLAN を伝送する送信元トランクポートからローカルに送信された RSPAN VLAN トラフィックをコピーしません。
ERSPAN 送信元セッションは、ローカルに送信された ERSPAN Generic Routing Encapsulation(GRE)でカプセル化されたトラフィックを送信元ポートからコピーしません。
IPv4 接続の ip routing コマンドと IPv6 接続の ipv6 unicast-routing コマンドを無効にすると、宛先ポートへの ERSPAN トラフィックフローが停止します。
ここでは、ERSPAN の設定について説明します。
Cisco ERSPAN 機能を使用すると、ポートまたは VLAN のトラフィックをモニターし、モニターされたトラフィックを宛先ポートに送信できます。ERSPAN は、スイッチ プローブ デバイスやリモート モニタリング(RMON)プローブなどのネットワーク アナライザにトラフィックを送信します。ERSPAN は、異なるデバイス上のソースポート、ソース VLAN、および宛先ポートをサポートして、ネットワーク上での複数のデバイスのリモートモニタリングを支援します。
ERSPAN は、最大 9180 バイトのカプセル化されたパケットをサポートします。ERSPAN は、ERSPAN 送信元セッション、ルーティング可能な ERSPAN GRE カプセル化トラフィック、および ERSPAN 宛先セッションで構成されています。
ERSPAN 送信元セッション、ERSPAN 宛先セッション、またはその両方をデバイスで設定できます。ERSPAN 送信元セッションのみが設定されているデバイスは、ERSPAN 送信元デバイスと呼ばれます。ERSPAN 宛先セッションだけが設定されているデバイスは、ERSPAN 終端デバイスと呼ばれます。デバイスは、ERSPAN 送信元デバイスと終端デバイスの両方として機能できます。宛先デバイスでの管理トラフィックのドロップにつながる可能性のある、トラフィックのオーバーサブスクリプションを回避するには、送信元デバイスで送信元セッションを設定する前に、宛先セッションが設定され、宛先デバイスで動作していることを確認してください。
送信元ポートまたは送信元 VLAN については、ERSPAN は、入力トラフィック、出力トラフィック、または入出力トラフィックを監視できます。デフォルトでは、ERSPAN は、マルチキャストおよびブリッジ プロトコル データ ユニット(BPDU)フレームを含む、すべてのトラフィックを監視します。
デバイスは、最大 66 のセッションをサポートします。最大 8 つの送信元セッションを設定できます。残りのセッションは、RSPAN 宛先セッションとして設定できます。送信元セッションは、ローカル SPAN 送信元セッションまたは RSPAN 送信元セッションあるいは ERSPAN 送信元セッションのいずれかになります。送信元セッションの数は、設定された ERSPAN 宛先セッションの数だけ減少します。
デバイスは、セッションごとに最大 50 のセキュリティグループタグ(SGT)フィルタをサポートできます。
ERSPAN 送信元セッションは、次のパラメータによって定義されます。
セッション ID。
ERSPAN フロー ID。
セッションによって監視される送信元ポートまたは送信元 VLAN の一覧。
Generic Routing Encapsulation(GRE)エンベロープに関連する、IP Type of Service(ToS)や IP Time to Live(TTL)などのオプションの属性。
宛先および送信元 IP アドレス。これらは、キャプチャされたトラフィックの GRE エンベロープの宛先 IP アドレスと送信元 IP アドレスとしてそれぞれ使用されます。
(注) |
|
Cisco ERSPAN 機能は次の送信元をサポートします。
送信元ポート:トラフィック分析のためにモニターされる送信元ポートです。任意の VLAN の送信元ポートを設定することができ、トランク ポートは、非トランク送信元ポートとともに送信元ポートとして設定できます。
送信元 VLAN:トラフィック分析のためにモニターされる VLAN です。
宛先ポートは、ERSPAN 送信元が分析用のトラフィックを送信するレイヤ 2 LAN ポートまたはレイヤ 3 LAN ポートです。
宛先ポートとしてポートを設定すると、そのポートはトラフィックを受信できなくなり、ERSPAN 機能によってのみ使用される専用のポートになります。ERSPAN 宛先ポートでは、ERSPAN セッションに必要なトラフィック以外の転送は行われません。トランク ポートを宛先ポートとして設定することができます。これによって、宛先トランク ポートがカプセル化したトラフィックを転送することができます。
セキュリティグループタグ(SGT)は、ログイン時に Cisco Identity Services Engine(ISE)がユーザーまたはエンドポイントセッションに割り当てる 16 ビット値です。ネットワーク インフラストラクチャでは、セッションに割り当てる別の属性として SGT が認識され、そのセッションからのすべてのトラフィックにレイヤ 2 タグが挿入されます。プラットフォームは、セッションあたり最大 50 の SGT ポリシーをサポートできます。
既存のフローベース SPAN(FSPAN)または VLAN フィルタセッションでは、SGT フィルタリング設定は許可されていません。
ERSPAN ヘッダーがタイプ III に設定されている場合、ERSPAN タイムスタンプは自動的に有効になります。タイムスタンプフィールドは、デバイスのパケット遅延を計算するために使用されます。ERSPAN 送信元セッションは、パケットを受信するとタイムスタンプフィールドにローカル時間情報を入力し、宛先セッションはこのタイムスタンプをアプリケーションに引き渡すことができます。ERSPAN は、32 ビット形式のすべてのタイムスタンプをサポートします。100 ナノ秒(ns)の粒度をサポートし、タイムスタンプフィールドのラップアラウンド時間は約 7 分です。
ここでは、ERSPAN の設定方法について説明します。
ERSPAN 送信元セッションは、モニターするセッション設定パラメータおよびポートまたは VLAN を定義します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
monitor session span-session-number type erspan-source 例:
|
セッション ID とセッション タイプを使用して ERSPAN 送信元セッションを定義し、ERSPAN のモニター送信元セッション コンフィギュレーション モードを開始します。
|
||
ステップ 4 |
description string 例:
|
(任意)ERSPAN 送信元セッションの説明を入力します。
|
||
ステップ 5 |
[no] header-type 3 例:
|
(任意)スイッチをタイプ III ERSPAN ヘッダーに設定します。デフォルトタイプはタイプ II ERSPAN ヘッダーです。 |
||
ステップ 6 |
source {interface interface-type interface-number | vlan vlan-id} [, | - | both | rx | tx] 例:
|
送信元インターフェイスまたは VLAN、およびモニターするトラフィックの方向を設定します。 |
||
ステップ 7 |
filter {ip access-group {standard-access-list | expanded-access-list | acl-name } | ipv6 access-group acl-name | mac access-group acl-name | sgt sgt-ID [, | -] | vlan vlan-ID [, | -]} 例:
|
(任意)ERSPAN 送信元がトランク ポートである場合、送信元 VLAN フィルタリングを設定します。filter sgt sgt-ID コマンドは、ERSPAN 送信元セッションで SGT フィルタリングを設定します。
|
||
ステップ 8 |
destination 例:
|
ERSPAN 送信元セッションの宛先コンフィギュレーション モードを開始します。 |
||
ステップ 9 |
erspan-id erspan-flow-id 例:
|
ERSPAN トラフィックを識別するため、送信元および宛先セッションで使用される ID を設定します。これは、ERSPAN 宛先セッションの設定でも入力する必要があります。 |
||
ステップ 10 |
|
|||
ステップ 11 |
ip address ip-address 例:
|
ERSPAN トラフィックの宛先として使用される IP アドレスを設定します。 |
||
ステップ 12 |
ip dscp dscp-value 例:
|
(任意)回線エミュレーション(CEM)チャネルからのパケットに対して IP DiffServ コード ポイント(DSCP)の使用をイネーブルにします。 |
||
ステップ 13 |
ip ttl ttl-value 例:
|
(任意)ERSPAN トラフィック内のパケットの IP TTL 値を設定します。 |
||
ステップ 14 |
mtu mtu-size 例:
|
MTU の切り捨てサイズを設定します。設定された MTU サイズよりも大きい ERSPAN パケットはすべて、設定されたサイズに切り捨てられます。MTU サイズの範囲は、176 ~ 9000 バイトです。デフォルト値は 9000 バイトです。 |
||
ステップ 15 |
origin ip-address ip-address 例:
|
ERSPAN トラフィックの送信元として使用される IP アドレスを設定します。 |
||
ステップ 16 |
vrf vrf-id 例:
|
(任意)グローバル ルーティング テーブルの代わりに使用する VRF 名を設定します。 |
||
ステップ 17 |
exit 例:
|
ERSPAN 送信元セッション宛先コンフィギュレーション モードを終了し、ERSPAN 送信元セッション コンフィギュレーション モードに戻ります。 |
||
ステップ 18 |
no shutdown 例:
|
インターフェイスで設定されたセッションをイネーブルにします。 |
||
ステップ 19 |
end 例:
|
ERSPAN 送信元セッション コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ERSPAN 宛先セッションは、セッション設定パラメータとモニター対象トラフィックを受信するポートを定義します。IPv4 ERSPAN 宛先セッションを定義するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
monitor session session-number type erspan-destination 例:
|
セッション ID とセッションタイプを使用して ERSPAN 宛先セッションを定義し、ERSPAN のモニター宛先セッション コンフィギュレーション モードを開始します。
|
ステップ 4 |
description string 例:
|
(任意)ERSPAN 宛先セッションの説明を入力します。
|
ステップ 5 |
destination interface interface-type interface-number 例:
|
ERSPAN 宛先セッション番号を送信元ポートに関連付け、モニターするトラフィックの方向を選択します。 |
ステップ 6 |
source 例:
|
ERSPAN 宛先セッションの送信元コンフィギュレーション モードを開始します。 |
ステップ 7 |
erspan-id erspan-flow-id 例:
|
ERSPAN トラフィックを識別するため、送信元および宛先セッションで使用される ID を設定します。これは、ERSPAN 送信元セッションの設定でも入力する必要があります。 |
ステップ 8 |
ip address ip-address [force] 例:
|
ERSPAN トラフィックの宛先として使用される IP アドレスを設定します。
|
ステップ 9 |
no shutdown 例:
|
インターフェイスで設定されたセッションをイネーブルにします。 |
ステップ 10 |
end 例:
|
ERSPAN 宛先セッション送信元コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
次のセクションに ERSPAN の設定例を示します。
次に、ERSPAN 送信元セッションを設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# monitor session 1 type erspan-source
Device(config-mon-erspan-src)# description source1
Device(config-mon-erspan-src)# source interface GigabitEthernet 1/0/1 rx
Device(config-mon-erspan-src)# source interface GigabitEthernet 1/0/4 - 8 tx
Device(config-mon-erspan-src)# source interface GigabitEthernet 1/0/3
Device(config-mon-erspan-src)# destination
Device(config-mon-erspan-src-dst)# erspan-id 100
Device(config-mon-erspan-src-dst)# ip address 10.1.0.2
Device(config-mon-erspan-src-dst)# ip dscp 10
Device(config-mon-erspan-src-dst)# ip ttl 32
Device(config-mon-erspan-src-dst)# mtu 512
Device(config-mon-erspan-src-dst)# origin ip address 10.10.0.1
Device(config-mon-erspan-src-dst)# vrf monitoring
Device(config-mon-erspan-src-dst)# exit
Device(config-mon-erspan-src)# no shutdown
Device(config-mon-erspan-src)# end
次に、ERSPAN 宛先セッションを設定する例を示します。
Device(config)# monitor session 2 type erspan-destination
Device(config-mon-erspan-dst)# destination interface GigabitEthernet1/3/2
Device(config-mon-erspan-dst)# destination interface GigabitEthernet2/2/0
Device(config-mon-erspan-dst)# source
Device(config-mon-erspan-dst-src)# erspan-id 100
Device(config-mon-erspan-dst-src)# ip address 10.1.0.2
ERSPAN 設定を確認するには、次のコマンドを使用します。
次に、show monitor session コマンドの出力例を示します。
Device# show monitor session 53
Session 53
----------
Type : ERSPAN Source Session
Status : Admin Enabled
Source Ports :
MTU : Fo1/0/2
次に、show platform software monitor session コマンドの出力例を示します。
Device# show platform software monitor session 53
Span Session 53 (FED Session 0):
Type: ERSPAN Source
Prev type: Unknown
Ingress Src Ports:
Egress Src Ports:
Ingress Local Src Ports: (null)
Egress Local Src Ports: (null)
Destination Ports:
Ingress Src Vlans:
Egress Src Vlans:
Ingress Up Src Vlans: (null)
Egress Up Src Vlans: (null)
Src Trunk filter Vlans:
RSPAN dst vlan: 0
RSPAN src vlan: 0
RSPAN src vlan sav: 0
Dest port encap = 0x0000
Dest port ingress encap = 0x0000
Dest port ingress vlan = 0x0
SrcSess: 1 DstSess: 0 DstPortCfgd: 0 RspnDstCfg: 0 RspnSrcVld: 0
DstCliCfg: 0 DstPrtInit: 0 PsLclCfgd: 0
Flags: 0x00000000
Remote dest port: 0 Dest port group: 0
FSPAN disabled
FSPAN not notified
ERSPAN Id : 0
ERSPAN Org Ip: 0.0.0.0
ERSPAN Dst Ip: 0.0.0.0
ERSPAN Ip Ttl: 255
ERSPAN DSCP : 0
ERSPAN MTU : 1500 >>>>
ERSPAN VRFID : 0
ERSPAN State : Disabled
ERSPAN Tun id: 61
ERSPAN header-type: 2
ERSPAN SGT :
次に、show monitor session erspan-source detail コマンドの出力例を示します。
Device# show monitor session erspan-source detail
Type : ERSPAN Source Session
Status : Admin Enabled
Description : -
Source Ports :
RX Only : None
TX Only : None
Both : None
Source Subinterfaces :
RX Only : None
TX Only : None
Both : None
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source Drop-cause : None
Source EFPs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : None
Filter VLANs : None
Filter SGT : None
Dest RSPAN VLAN : None
IP Access-group : None
MAC Access-group : None
IPv6 Access-group : None
Filter access-group :None
smac for wan interface : None
dmac for wan interface : None
Destination IP Address : 192.0.2.1
Destination IPv6 Address : None
Destination IP VRF : None
MTU : 1500
Destination ERSPAN ID : 251
Origin IP Address : 10.10.10.216
Origin IPv6 Address : None
IP QOS PREC : 0
IPv6 Flow Label : None
IP TTL : 255
ERSPAN header-type : 3
次の show capability feature monitor erspan-source コマンドの出力は、設定された ERSPAN 送信元セッションに関する情報を表示しています。
Device# show capability feature monitor erspan-source
ERSPAN Source Session:ERSPAN Source Session Supported: TRUE
No of Rx ERSPAN source session: 8
No of Tx ERSPAN source session: 8
ERSPAN Header Type supported: II and III
ACL filter Supported: TRUE
SGT filter Supported: TRUE
Fragmentation Supported: TRUE
Truncation Supported: FALSE
Sequence number Supported: FALSE
QOS Supported: TRUE
次の show capability feature monitor erspan-destination コマンドの出力は、設定されたすべてのグローバル組み込みテンプレートを表示しています。
Device# show capability feature monitor erspan-destination
ERSPAN Destination Session:ERSPAN Destination Session Supported: TRUE
Maximum No of ERSPAN destination session: 8
ERSPAN Header Type supported: II and III
標準/RFC | タイトル |
---|---|
RFC 2784 |
『Generic Routing Encapsulation (GRE)』 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
ERSPAN |
Cisco IOS XE Everest 16.5.1a |
この機能が導入されました。 |
ERSPAN |
Cisco IOS XE Gibraltar 16.11.1 |
宛先セッションのサポートが導入されました。 vrf コマンドと ip dscp コマンド、および sgt キーワードが導入されました。 ERSPAN は、デバイスをタイプ III ヘッダーに設定するように拡張されました。 header-type 3 コマンドが導入されました。 ERSPAN 切り捨てとタイムスタンプのサポートが導入されました。 mtu コマンドが導入されました。 |